Cyberatak na firmę prawie zawsze zaczyna się (a często też kończy…) dochodzeniem, kto zawinił powstałej sytuacji. Gdy ofiarą padną systemy w infrastrukturze chmurowej, niemal automatycznie za winnego uznany zostaje dostawca usługi, kontrakt jest przerywany, a zaatakowana aplikacja przenoszona z powrotem do lokalnej infrastruktury przedsiębiorstwa. Tymczasem sytuacja nie jest tak oczywista i prosta.
W najbardziej czytelnym scenariuszu, gdy na przykład zostanie wykryta luka w zabezpieczeniach platformy wirtualizacyjnej lub chmurowej, kwestia odpowiedzialności jest w miarę oczywista. Tylko połowa respondentów, który wzięli udział w ankiecie przeprowadzonej niedawno przez agencję IHS Markit na zlecenie Fortinet, była w stanie konkretnie wskazać winowajcę w przypadku problemów. Ale równie wysoki odsetek respondentów błędnie pociągnął swojego dostawcę usług chmurowych do odpowiedzialności za zagrożenia (takie jak zaawansowane uporczywe ataki APT) obecne w wyższych warstwach, będących w gestii zarządzania przez ich użytkownika.
Generalnie ochrona powinna być zapewniana w dwóch obszarach – w podstawowej infrastrukturze chmury (zabezpieczanej przez dostawcę usługi) oraz w warstwie, na którą składa się oprogramowanie, dane i aplikacje działające z wykorzystaniem tej infrastruktury (odpowiedzialność konsumentów za ochronę). Podziały te nie zawsze są jednak tak precyzyjne, zwłaszcza gdy wkraczamy w obszary dotyczące platformy i funkcjonalności dostępnej jako usługa (PaaS i FaaS). Dobrą zasadą jest przeprowadzenie konsultacji z osobami posiadającymi wiedzę dotyczącą najlepszych praktyk związanych z wykorzystywanymi usługami w chmurze. I raczej należy też oczekiwać, że ich dostawca zapewni tylko izolowane środowisko pracy.
Z chmury do chmury
Kolejnym wyzwaniem jest to, że oprogramowanie, jego funkcje, protokoły i reguły bezpieczeństwa działają w różny sposób na różnych platformach chmur publicznych, prywatnych czy w infrastrukturze fizycznej przedsiębiorstwa. Przenoszenie aplikacji lub usługi z jednego środowiska do drugiego może być proste, ale problem pojawia się przy zapewnieniu im bezpieczeństwa. Wiele rozwiązań ochronnych wymaga znacznej ilości zasobów IT w celu ich ponownego wdrożenia oraz weryfikacji poprawności pracy, szczególnie gdy aplikacje i ich dane systematycznie przepływają między różnymi środowiskami.
– Rozwiązanie tego problemu stanowi wyzwanie i jest czasochłonne. Działania należy zacząć od wyboru jednego dostawcy rozwiązań ochronnych działających we wszystkich rodzajach środowisk – chmurze publicznej i prywatnej, a także infrastrukturze lokalnej – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce. – Muszą też poprawnie funkcjonować w chmurach publicznych od różnych dostawców, aby nie ograniczać klienta, zaś zapewnić mu elastyczność wyboru środowiska IT, w którym chce pracować oraz efektywność migracji aplikacji i danych.
Większa różnorodność to więcej problemów
Migracja firmowych środowisk IT do chmury przez długi czas przebiegała w miarę bezproblemowo, ale dziś widać już, że jej charakter się zmienia. Transfer danych odbywa się dwukierunkowo. Taki stan utrzyma się dość długo, dopóki przedsiębiorstwa nie wypracują najlepszej kombinacji połączenia zasobów chmur publicznych, prywatnych i znajdujących się w lokalnej infrastrukturze do obsługi biznesowych aplikacji i usług. Natomiast nawet gdy to się wydarzy, dalej będzie istniała konieczność zapewnienia możliwości bezpiecznego przesyłania danych pomiędzy różnymi środowiskami.
W czasach, gdy zagrożenia wobec firmowych danych czyhają na każdym kroku, nie można pozwolić sobie na to, aby rozwiązania ochronne były wdrażane wyłącznie w reakcji na zaistniały problem. Ewentualne poniesione straty mogą okazać się zbyt dotkliwe, zdecydowanie większe niż koszt wdrożenia profesjonalnych narzędzi zabezpieczających. Ale nie można też dopuścić do sytuacji, w której w infrastrukturze firmy będzie funkcjonowało zbyt wiele rozwiązań ochronnych. Takie podejście nieuchronnie prowadzi do problemów związanych z utrzymaniem poprawnej konfiguracji środowiska, zapewnieniem aktualizacji poszczególnych systemów, jak też spójnym egzekwowaniu reguł polityki bezpieczeństwa w całej firmie.
Należy przyjąć zintegrowaną strategię ochronną, obejmującą zarówno kwestie organizacyjne (metodyka), operacyjne (narzędzia zabezpieczające) oraz edukacyjne (szkolenia dla personelu uświadamiające charakter działań cyberprzestępców). Tylko w ten sposób możliwe jest zagwarantowanie niezakłóconego funkcjonowania środowiska wielochmurowego, w którym aplikacje i dane swobodnie przesyłane są między centrami danych, w zależności od potrzeb biznesowych przedsiębiorstwa.